Comretix Blog

Es gab Attacken auf mit Microsofts Software-as-a-Service-Plattform Power Pages erstellte Internetseiten. Außerdem war die Bingsuche verwundbar.

Anzeige

In beiden Fällen müssen Admins keine Sicherheitsupdates installieren, da Microsoft angibt, die beiden Onlineservices selbst abgesichert zu haben.

In einer Warnmeldung zu Power Pages schreiben sie, dass Angreifer die Authentifizierung umgehen und so unbefugt auf Websites zugreifen konnten (CVE-2025-24989 "hoch"). Das sei nun nicht mehr möglich. Microsoft gibt an, von Attacken betroffene Kunden mit Handlungsanweisungen kontaktiert zu haben. In welchem Umfang die Attacken abliefen, ist derzeit nicht bekannt.

Über Bing hätten Angreifer aufgrund von einer fehlenden Authentifizierung im Kontext einer nicht näher beschriebenen kritischen Funktion via Netzwerkzugriff Schadcode ausführen können (CVE-2025-21355 "hoch"). An dieser Stelle gibt es keine Hinweise auf Attacken.

Um Laufwerksabbilder im ISO- oder IMG-Format auf SD-Karte oder USB-Stick zu verfrachten, kann man im Terminal von Unix-artigen Betriebssystemen etwa den Befehl dd bemühen. Oder man wählt den bequemen Weg über Programme mit einfacher Benutzeroberfläche, die das mit wenigen Mausklicks erledigen. balenaEtcher ist solch ein Programm, populär und oft genutzt – jetzt warnt aber das Tails-Projekt, das eine anonymisierende Linux-Distribution entwickelt, vor dem Einsatz dieser Software.

Anzeige

Ein News-Beitrag auf der Seite des Tails-Projekts erklärt die Gründe für diese Entscheidung. Demnach habe Tails seit 2019 balenaEtcher empfohlen, um Tails von macOS und Windows aus auf einen USB-Stick zu installieren. Ausschlaggebend war die Einfachheit, mit der das Programm zu nutzen ist, und es unterstützte auch gleich Macs. Kurz danach fing balenaEtcher an, Werbung anzuzeigen. Die Tails-Entwickler mochten das zwar nicht, sahen initial jedoch kein größeres Problem für die Privatsphäre darin – und hatten schlicht auch keine bessere Alternative zur Hand.

"Im Jahr 2024 änderte sich die Situation jedoch: balenaEtcher begann, den Dateinamen des Images und das Modell des USB-Sticks mit der Firma Balena und möglicherweise mit Dritten zu teilen", schreiben die Tails-Maintainer. "Wir haben zwar noch von keinen Angriffen auf Tails-Benutzer erfahren oder gehört, die auf diese Änderung zurückzuführen sind. Aber wir glauben, dass sie ein Potenzial für Missbrauch darstellt. Um dieses Risiko gänzlich auszuschließen, haben wir uns erneut nach Alternativen umgesehen."

Sieben ISO-Image-Tools kamen in die nähere Betrachtung, am Ende machte Rufus das Rennen. Vor Jahren hatte das Team das Tool bereits getestet, empfand es aber deutlich schwerer zu nutzen. Zudem änderte es das Tails-Image auf nicht näher genannte Art und Weise, die die Tails-Maintainer jedoch als "riskant" einstuften. Jedoch habe die Firma hinter Rufus, Akeo Consulting, inzwischen das Werkzeug "wirklich in der Nutzbarkeit und Verlässlichkeit verbessert". In den Anleitungen für macOS hat Tails balenaEtcher noch nicht ersetzt: einerseits läuft Rufus nicht darunter, andererseits läuft Tails nicht auf Apple Silicon – Leute, die Tails von macOS aus installieren, repräsentierten zudem weniger als zehn Prozent aller Installationen heutzutage. Für macOS empfehlen sie jedoch die Nutzung von dd auf der Kommandozeile oder den Raspberry Pi Imager.

Citrix hat mehrere Sicherheitslücken in Netscaler Agent, Netscaler Console (zuvor als Netscaler ADM bekannt) und im Secure Access Client für macOS entdeckt. Angreifer können durch die Schwachstellen ihre Rechte in verwundbaren Systemen ausweiten. Software-Updates zum Stopfen der Lücken stehen bereit.

Anzeige

In einer Sicherheitsmitteilung warnt Citrix vor den Schwachstellen in Netscaler Agent und Netscaler Console. Details nennt der Hersteller dort nicht, sondern lediglich, dass die Lücke eine "authentifizierte Rechteausweitung" in den beiden Produkten ist. Sie ist demnach vom Typ "unzureichende Rechteverwaltung" (CVE-2024-12284, CVSS 8.8, Risiko "hoch"). Unklar bleibt, wie Angreifer sie ausnutzen und wie IT-Verantwortliche Angriffe erkennen können.

Betroffen sind Netscaler Agent und Netscaler Console 13.1 und 14.1. Die Updates auf Version 13.1-56.18 respektive 14.1-38.53 bügeln die sicherheitsrelevanten Fehler aus. Citrix merkt an, dass ausschließlich von Kunden selbst verwaltete Installationen betroffen sind, die Netscaler Console und Netscaler Console Agents verteilt haben. Von Citrix verwaltete Installationen seien bereits versorgt, Kunden und Kundinnen müssen hier nicht aktiv werden.

In einer weiteren aktuellen Sicherheitsmitteilung warnt Citrix zudem vor Sicherheitslücken im Secure Access Client für Mac. Beide Schwachstellen beschreibt Citrix als: "Angreifer können die Rechte der Anwendung ergattern, um (begrenzte) Veränderungen vorzunehmen und/oder beliebige Daten zu lesen." Einmal geht das auf einen "fehlerhaften Schutzmechanismus" zurück (CVE-2025-1222, CVSS 5.9, mittel), die andere Lücke hingegen auf ein "unkontrolliertes Suchpfad-Element" (CVE-2025-1223, CVSS 5.9, mittel).

In den Kameras aus der Produktreihe Unifi Protect sowie der zugehörigen Verwaltungsoberfläche klaffen kritische Sicherheitslücken. Angreifer können mit ihrer Hilfe Einstellungen auf den Geräten ändern und sogar eigene Kommandos ausführen.

Anzeige

Insgesamt fünf Sicherheitslücken veröffentlichte Unifi-Hersteller Ubiquiti in einem Sicherheitshinweis:

Die Sicherheitslücken betreffen alle Versionen, einschließlich 4.74.88 der Unifi-Protect-Cameras und die Unifi Protect Application in Version 5.2.46 oder früher.

Admins sollten auf die fehlerbereinigten Versionen wechseln. Das ist bei Unifi Protect Application Version 5.2.49 oder neuer, für die Kameras ist Version 4.74.106 zumindest um die vorgenannten Fehler ärmer. Zuletzt hatte der Hersteller im Oktober 2024 schwere Sicherheitslücken in einem seiner Produkte zu beklagen.

In den Multifunktionsdruckern von Xerox der Phaser-, Versalink- und WorkCentre-Baureihen haben IT-Sicherheitsforscher Sicherheitslücken entdeckt. Angreifer können dadurch Zugangsdaten ausspähen und abgreifen und sich etwa im Netzwerk einnisten.

Anzeige

Die Schwachstellen haben Mitarbeiter des IT-Sicherheitsunternehmens Rapid7 aufgespürt, wie sie in einem Blog-Beitrag erklären. Demnach sind die Drucker für sogenannte Pass-Back-Angriffe anfällig, bei denen Angreifer die Log-in-Daten verwundbarer Drucker abgreifen können, nachdem sie die Einstellungen am Gerät manipuliert haben. Das gelinge oft, da die Standard-Passwörter in den Druckern meist nicht geändert werden, schreiben die Autoren der Erklärung solch einer Attacke.

Mit dem Zugriff auf das Adressbuch können Angreifer SMB- und FTP-Einstellungen ändern, die Ausgabe von gescannten Dokumenten umleiten und Zugangsdaten abgreifen, ist der Schwachstellenbeschreibung zu entnehmen (CVE-2024-12511, CVSS 7.6, Risiko "hoch"). Dazu muss die Scan-Funktion aktiviert sein und der Druckerzugriff etwa aus dem Intranet möglich sein. Die zweite Lücke können Angreifer durch Zugriff auf die LDAP-Einstellungen missbrauchen, lautet die Beschreibung, und dort die Authentifizierung auf einen anderen Server umleiten. Dadurch können sie Zugangsdaten erlangen, sofern sie Admin-Zugang und ein aktives LDAP-Setup haben (CVE-2024-12510, CVSS 6.7, mittel).

Rapid7 erläutert die vorgefundenen Sicherheitslücken detailliert. Xerox hat mit einer eigenen Sicherheitsmitteilung reagiert und nennt darin aktualisierte Systemsoftware für die betroffenen Geräte. Verwundbar sind demnach Xerox Phaser 6510, VersaLink B400/C400/B405/C405, B600/B610, B605/B615, C500/C505/C600/C605, C7000, C7020/C7025/C7030, B7025/B7030/B7035, B7125/B7130/B7135, C7120/C7125/C7130, C8000/C9000, C8000W sowie WorkCentre 6515. Die einzelnen Firmware-Updates haben die Autoren in der Tabelle des Xerox-Dokuments verlinkt. IT-Verantwortliche sollten die Aktualisierung zügig vornehmen und unbedingt die Standard-Zugangsdaten der Geräte durch individuelle ersetzen, sofern das noch nicht geschehen ist.

Der Schutz vertraulicher Daten – etwa in Form von Passwörtern, kryptografischen Schlüsseln, personenbezogenen Informationen oder sensiblen Geschäftsgeheimnissen – ist eine der zentralen Herausforderungen für Softwareentwicklerinnen und -entwickler. Während sich viele Sicherheitsmaßnahmen auf die Verschlüsselung von Daten bei der Speicherung (at rest) oder während der Übertragung (in transit) konzentrieren, bleibt ein oft unterschätzter Angriffsvektor bestehen: der Schutz sensibler Informationen im Arbeitsspeicher (in memory).

Anzeige

Daten, die im Speicher gehalten werden, sind potenziell angreifbar durch verschiedene Methoden wie Speicherauszüge (Memory Dumps), Heap-Analysen, Seitenkanalangriffe oder unsichere Speicherverwaltung. Vor allem beim Einsatz von Programmiersprachen mit automatischem Speichermanagement, wie beispielsweise Java, stellt sich die Herausforderung, dass Entwickler nur bedingt Kontrolle darüber haben, wann sensible Daten endgültig aus dem Speicher entfernt werden.

Ein effektiver Schutz erfordert daher bewährte Praktiken wie den bewussten Umgang mit Speicherlebenszyklen, die Minimierung der Speicherdauer sensibler Daten, die Vermeidung von Speicherlecks sowie den Einsatz gezielter Mechanismen zur Absicherung des Speichers. In diesem Artikel betrachten wir allgemein bewährte Methoden, Sicherheitsrisiken und konkrete Maßnahmen in Java, um vertrauliche Daten im Speicher wirksam zu schützen.

Um insbesondere die Sicherheit vertraulicher Daten im Arbeitsspeicher gegen Techniken wie Speicherauszüge (Memory Dumps), Heap-Analysen oder Seitenkanalangriffe zu gewährleisten, ist ein strukturierter Schutzansatz erforderlich, der den gesamten Lebenszyklus dieser Daten im Speicher betrachtet. Dieser reicht von der Vermeidung unnötiger Speicherung sensibler Informationen, über eine sichere und kontrollierte Verarbeitung bis hin zum konsequenten und irreversiblen Löschen der Daten.

Wearables, die sich auch für medizinische Zwecke wie das Messen von Körperfunktionen nutzen lassen, weisen vielfach erhebliche Lücken bei der IT-Sicherheit und beim Schutz der übermittelten Gesundheitsdaten auf. Das geht aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Den Ergebnissen zufolge sind viele der getesteten Geräte offen für Angriffe. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.

Anzeige

Zugleich wächst der Markt für solche Health-Wearables laut der Studie rapide, wodurch das Risiko für sicherheitsrelevante Vorfälle steigt. Die Analyse führten die Cybersicherheitsfirma eShard und der Entwicklungsservice Eesy-Innovation im BSI-Auftrag durch. Die erste Fassung des Berichts lag der Behörde schon Ende November 2023 vor, sie hat sie aber erst jetzt veröffentlicht. Die Experten wählten demnach zehn Produkte für "eine detaillierte Sicherheitsuntersuchung" aus. Darunter waren sechs vernetzte Uhren wie Smartwatches, drei Fitness-Tracker und ein Smart Ring. Die Forscher deckten dabei insgesamt 110 Schwachstellen auf, die sie als "mittel" oder "hoch" einstuften. Keines der Geräte war komplett frei von Sicherheitslücken.

Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monieren die Tester. Werde geprüft, ob ein berechtigter Anwender Zugang erhalte, gebe es oft Schwächen in der Implementierung. Sieben der acht als "hoch" eingestuften Schwachstellen betrafen das Bluetooth-Protokoll, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient. Die meisten der getesteten Apps verfügten zudem über keinerlei Mechanismen zum Anti-Debugging oder zum Erkennen von Rooting. Solche Verfahren könnten zumindest helfen, fortgeschrittene Angreifer abzuwehren und die Daten der Nutzer zu schützen, wenn die Plattform kompromittiert oder die mobile Anwendung angegriffen wird.

Aufgrund der Lücken war es den Forschern teils möglich, die Firmware während des Aktualisierungsprozesses abzuhören. Diese hätte im Anschluss von einem Angreifer analysiert und manipuliert werden können, wenn sie nicht ordnungsgemäß etwa durch Signaturen oder Prüfungen auf Informationslecks geschützt ist. Die Tester stellten auch fest, dass einige Schwachstellen aufgrund der Nutzung einheitlicher Betriebssysteme, Software und gemeinsamer Infrastrukturen immer wieder auftraten. Dies erhöhe die Gefahr "groß angelegter Angriffe auf viele Geräte gleichzeitig". Generell würfen die Resultate in Anbetracht der Sensibilität der verarbeiteten Daten "Fragen und Bedenken auf".

In Broadcoms Brocade SANnav klaffen Sicherheitslücken, durch die Angreifer unbefugt an Zugangsdaten gelangen oder diverse Attacken ausführen können. Aktualisierte Softwarepakete sollen die Schwachstellen ausbessern.

Anzeige

Insgesamt vor fünf Sicherheitslücken in der Storage-Area-Network-Verwaltungssoftware hat Broadcom nun gewarnt. Am schwerwiegendsten stufen die Entwickler eine Lücke ein, durch die Brocade SANnav bei bestimmten Fehlern während der Installation oder eines Upgrades die Verschlüsselungs-Keys in einen Brocade SANnav Supportsave speichert. Angreifer mit erhöhten Rechten zum Zugriff auf die Brocade-Datenbank können diesen Verschlüsselungs-Key nutzen, um an Passwörter zu gelangen, die SANnav einsetzt.

Der Docker-Daemon in Brocade SANnav läuft ohne sogenanntes Auditing. Das ermöglicht angemeldeten Angreifern aus dem Netz, diverse Attacken auszuführen. Ursache dafür ist, dass Dokcer-Operationen mit erhöhten Rechten und mit unbeschränktem Zugriff im Host-System erfolgen.

Weiterhin ist die Verschlüsselung für SSH auf Port 22 unsicher: Brocade SANnav aktiviert veraltete SHA1-Einstellungen für den Fernzugriff. Das macht die Verschlüsselung für Kollisionsattacken anfällig.

Im Packprogramm Winzip haben IT-Sicherheitsforscher eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Opfern mit manipulierten Archiven Schadcode unterzujubeln. Beim Öffnen einer bösartigen Webseite oder eines sorgsam präparierten Archivs mit Winzip können Angreifer aus dem Netz so beliebigen Code ausführen.

Anzeige

Die IT-Forscher von Trend Micros Zero-Day-Initiative (ZDI) haben die Lücke aufgespürt und eine Sicherheitsmitteilung dazu veröffentlicht. Das Problem besteht beim Verarbeiten von 7-Zip-Dateien (7z). "Das Problem resultiert aus mangelnder Überprüfung von Nutzer-übergebenen Daten, wodurch Schreibzugriffe über die Grenzen eines allokierten Speicherbereichs hinaus möglich sind", erklären die IT-Forscher.

"Angreifer können die Schwachstelle ausnutzen, um beliebigen Code im Kontext des aktuellen Prozesses auszuführen", erörtert das ZDI-Team weiter (CVE-2025-1240, CVSS 7.8, Risiko "hoch"). Entdeckt wurde die Lücke demnach im vergangenen September. Die Sicherheitsmitteilung mit einem CVE-Eintrag erfolgte jetzt vor wenigen Tagen.

Winzip 29.0 enthält die Schwachstelle nicht mehr. In den Release-Notes erwähnen die Entwickler jedoch keine Sicherheitskorrekturen. Allerdings nennen sie aktualisierte RAR- und 7-Zip-Bibliotheken für die Version 29.

Google will seinen Safe-Browsing-Ansatz zum sichereren Abruf von Websites und Downloads verbessern. Dabei soll die Analyse von Bedrohungen aus dem Internet nun auf KI-Basis mittels Large Language Model (LLM) Nutzer noch effektiver warnen.

Anzeige

Die Ende vergangenen Jahres bekannt gewordene Erweiterung des Schutzes ist inzwischen live. Wer das Sicherheitsfeature im Webbrowser nutzen möchte, muss es aber manuell aktivieren.

Der Safe-Browsing-Ansatz analysiert unter anderem betrügerische Websites und warnt Nutzer vor dem Besuch, dass Cyberkriminelle auf solchen Seiten persönliche Daten kopieren können. Google gibt an, dass die KI-basierte Variante unter anderem die Erkennungsrate verbessern soll.

Unter macOS konnten wir den neuen KI-Schutz mit Chrome 133.0.6943.99 aktivieren.

Mittels Mobile Device Management (MDM) können Administratoren Apple-Geräte weitgehend einrichten und steuern. Darunter fallen auch eine Reihe von Funktionen, die eigentlich der Sicherheit dienen, wie sich Apples MDM-Doku entnehmen lässt. Dennoch sollten sich IT-Abteilungen und andere MDM-Verantwortliche genau überlegen, ob sie entsprechende Einstellungen vornehmen. Eine besonders wichtige ist der sogenannte USB-Restricted-Mode. Denn auch dieser kann von Admins auf Wunsch mittels MDM-Einstellungen abgeschaltet werden.

Anzeige

Eigentlich fragen sowohl der Mac als auch ein iPhone oder ein iPad nach, wenn ein USB-C-Gerät eingesteckt wird. Das ist wichtig, weil es verschiedene Angriffsmethoden gibt, die kabelgebunden arbeiten. Das beginnt bei Hacking-"Spielzeugen" wie Rubber Ducky oder dem Flipper Zero und endet mit professionellen Öffnungswerkzeugen, die Polizeibehörden und Geheimdienste verwenden. Entsprechend wichtig sind diese Nachfragen, dass sie eine Geräteverbindung verhindern, über die dann Angriffe erfolgen könnten. Zwar nerven die Prompts viele User, sie dienen aber der Sicherheit.

Wie Apples Dokumentation zu entnehmen ist, dürfen Admins auf Macs nun aber das sogenannte "allowUSBRestrictedMode"-Flag setzen. Es verhindert, dass die Nachfrage überhaupt kommt. Sinn der Sache sei es, dass es in "manchen Umgebungen" notwendig sei, dies zu erlauben, so Apple. Zwar können Nutzer dies grundsätzlich selbst vornehmen, doch müssten sie sich dazu in die Tiefen der Systemeinstellungen begeben, was die wenigsten tun dürften.

Bei iPhones und iPads können Admins wiederum das sogenannte Host-Pairing kontrollieren. Auch hier sollte man äußerst vorsichtig sein. Die Restriktionseinstellung "Allow pairing with non-Apple Configurator hosts" macht es möglich, das Gerät mit potenziell problematischen anderen Maschinen zu verbinden. Apple empfiehlt, dies zu verbieten, damit sichergestellt ist, dass sich ein Firmengerät nicht mit problematischen anderen Geräten verbindet.

Zahlreiche HP-Laserdrucker sind von Schwachstellen betroffen, durch die Angreifer Schadcode einschleusen und ausführen können. Der Hersteller stellt aktualisierte Firmware zum Schließen der Sicherheitslücken bereit. IT-Verantwortliche sollten sie rasch installieren.

Anzeige

In einer Sicherheitsmitteilung warnt HP vor den Sicherheitslücken. Bei den Details gibt sich HP zugeknöpft: "Bestimmte HP Laserjet Pro-, Laserjet Enterprise- und HP Laserjet Managed-Drucker könnten möglicherweise anfällig für Codeschmuggel aus dem Netz und die Ausweitung der Rechte beim Verarbeiten eines Postscript-Druckauftrags sein", lautet die beschwichtigende Zusammenfassung. Weitere Details sind jedoch Fehlanzeige.

Insgesamt handelt es sich um ein Bündel von drei Sicherheitslücken, die sich die Beschreibung teilen. CVE-2025-26506 erhält die CVSS-Bewertung 9.2 und stellt somit ein kritisches Risiko dar, CVE-2025-26508 gilt hingegen mit CVSS 8.3 als hoher Bedrohungsgrad. Die dritte Schwachstelle CVE-2025-26507 bewerten die Entwickler mit CVSS 6.3 als mittleres Risiko.

Die Anzahl der betroffenen Druckermodelle geht in die Hunderte, allein die Auflistung der teils zusammengefassten Baureihen addiert sich auf 120 Geräte-Serien. Sie alle aufzulisten, würde den Rahmen der Meldung sprengen, daher sei auf die Auflistung in der Sicherheitsmitteilung verwiesen. Admins sollten nachsehen, ob verwundbare Modelle in ihren Netzen arbeiten und die bereitstehenden Firmware-Updates zeitnah herunterladen und installieren.

In mehreren Produkten werden Angriffe auf Sicherheitslücken beobachtet. Betroffen sind Apples iOS, iPadOS, Mitels SIP-Phones und Palo Altos PAN-OS. Zum Schließen der Lücken stehen Updates bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt etwa vor Cyber-Attacken auf Schwachstellen in iOS und iPadOS (CVE-2025-24200). Angreifer mit physischem Zugriff können sich Zugriff verschaffen, indem sie die Lücke im Accessibility-Modul für Barrierefreiheit zum Aufheben des eingeschränkten USB-Zugriffs missbrauchen – die Lücke hat Apple in der vergangenen Woche mit iOS und iPadOS 18.3.1 sowie 17.7.5 gestopft.

Ende Januar wurden zudem Angriffe auf eine Sicherheitslücke in SIP-Phones von Mitel bekannt. Das Mirai-Botnet nistet sich in verwundbare Geräte ein. Die Lücke CVE-2024-41710 wurde bereits im August 2024 bekannt, vor der nun auch die CISA warnt, Admins sollten die Aktualisierungen nun rasch nachholen. Bei beiden angegriffenen Lücken nennt die CISA wie üblich keine Details, die wurden aber dieses Mal auf anderen Wegen zuvor bekannt.

Gegen Ende der vergangenen Woche wurden zudem Schwachstellen in Palo Altos Firewall-Betriebssystem PAN-OS bekannt. Für die gravierendste Sicherheitslücke CVE-2025-0108 stand bereits Exploit-Code zur Verfügung.

Die Staatsregierung in Bayern ist Ziel eines Cyberangriffs geworden. Man gehe mit hoher Sicherheit davon aus, dass die Attacke im Zusammenhang mit "prorussischem Hacktivismus" stehe, teilte das Landesamt für Sicherheit in der Informationstechnik am Sonntagabend auf Nachfrage mit.

Anzeige

Betroffen gewesen seien am Freitag die Staatskanzlei und das Staatsministerium für Digitales. Es sei aber kein Schaden entstanden und es seien auch keine Daten oder Informationen abgeflossen oder verschlüsselt worden. Die betroffenen Webseiten seien lediglich vorübergehend nicht erreichbar gewesen.

Vom Landeskriminalamt in Bayern hieß es, es könnte nicht beurteilt werden, ob der Angriff im Zusammenhang mit der Münchner Sicherheitskonferenz gestanden habe. Die Ermittlungen liefen. Der Bayerische Rundfunk hatte zuvor über den Angriff berichtet.

Das Landesamt für Sicherheit in der Informationstechnik erklärte, es habe sich um einen Distributed Denial-of-Service-Angriff (DDoS) gehandelt. Der Vorgang werde nach abgeschlossener Analyse zur Strafverfolgung an die Polizei übergeben.

Anzeige

Mit Bonus-Apps sichern sich Kunden Rabatte beim Einkauf und können gesammelte Punkte zu Geld machen. Nun haben Cyberkriminelle es auf das Guthaben von Rewe-Kunden abgesehen und nutzen Gutscheinkarten, um es zu Geld zu machen. Rewe schließt eine Sicherheitslücke aus – offenbar ermöglichen schwache Passwörter und Phishing den Punkteklau.

Bonusprogramme für treue Kunden sind ein Muss für Lebensmittelmärkte: Praktisch jede Discounter- und Supermarktkette bietet eine App mit Rabatten und Treuepunkten an oder nimmt am markenübergreifenden Payback-Programm teil. Dessen Stern sank zuletzt, als der Handelskonzern Rewe sich Ende 2024 mit allen Filialen ausklinkte und auf ein eigenes Programm namens Rewe Bonus setzte. Mitglieder von Rewe Bonus sammeln beim Einkauf Punkte und können das so gesammelte Guthaben mit ihrem Einkauf verrechnen – so sparen sie bares Geld. Zudem sieht das Rewe-Bonusprogramm die Möglichkeit vor, sich das Bonusguthaben mit einer zweiten Person, zum Beispiel Partner/in oder Mitbewohner/in, zu teilen. Beide können dann über das volle Guthaben verfügen und nicht nur über den Anteil, den sie selbst eingebracht haben.

Auf der Internetplattform Reddit klagten Mitte Februar 2025 mehrere betrogene Rewe-Kunden über eine stets gleich ablaufende Abzocke. Ihr Rewe-Bonuskonto wurde über die "Gemeinsam sammeln"-Funktion mit dem Konto einer völlig fremden Person verbunden, das gesamte Guthaben in einer Rewe-Filiale ausgezahlt und etwa zum Kauf einer Paysafecard verwendet. Derlei Karten sind nicht zurückverfolgbar und lassen sich leicht auf dem Schwarzmarkt zu Bargeld machen.

Der Punkteklau lief oft innerhalb weniger Minuten ab, sodass die Bestohlenen nicht reagieren konnten. Diese befanden sich auch nicht in der Nähe des Rewe-Markts, in dem die Auszahlung stattfand. Im Zuge unserer Recherchen meldeten sich binnen weniger Tage mehr als ein Dutzend Geschädigte bei der heise-Redaktion; auch die Redaktion des Spiegel stand mit mehreren Opfern in Kontakt. Es handelte sich also nicht um einen Einzelfall.

Linus Torvalds würde Code zum Programmieren des Kernels in Rust auch annehmen, wenn der Betreuer des relevanten Teilbereichs von Linux die Aufnahme blockiert. Der Begründer und leitende Entwickler des Linux genannten Kernels hat das indes nicht öffentlich verkündet – und sich auch sonst nicht zur Blockade-Haltung von Christoph Hellwig zu Rust-DMA-Kernel-Schnittstellen zu Wort gemeldet, die seit zwei Wochen für enorm viel Wirbel und Zank in der Linux-Szene sorgt.

Anzeige

Hellwig selbst aber erwähnte kürzlich beiläufig einen privaten Austausch mit Torvalds. Darin habe Letzterer klargestellt, Rust-Code im Zweifel definitiv anzunehmen, wenn sich ein Subsystem-Maintainer der Integration widersetzt ("[…] Linus in private said that he absolutely is going to merge Rust code over a maintainers objection").

Wie in unserer ersten Meldung angedeutet, war ein derartiges Vorgehen erwartet worden – ähnlich wie bei Streitigkeiten in Firmen passiert derlei aber manchmal in kleineren Runden oder Eins-zu-Eins-Gesprächen mit dem Chef. Konkret passiert ist aber bislang noch nichts – daher bleibt abzuwarten, ob Torvalds den Rust-DMA-Code nach weiterer Begutachtung und Feinschliff in den nächsten Monaten direkt annimmt oder ob Hellwig diesen doch selbst durchwinkt.

Hellwig stellt in seiner Mail zudem klar, dass er es gut fände, den Kernel in die Welt sicherer Programmiersprachen zu bringen. Zugleich wiederholt er aber auch seine Furcht vor einer unkontrollierbaren, mehrsprachigen Codebasis. Das hat zu einer Diskussion geführt, wo derzeit erneut über das Für und Wider von Rust und anderer Programmiersprachen-Ansätze zur Verbesserung der Sicherheit debattiert wird.

Um möglichen Angriffen vorzubeugen, sollten Admins ihre Moodle-Instanzen schnellstmöglich auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an mehreren Schwachstellen ansetzen und Systeme im schlimmsten Fall kompromittieren.

Anzeige

Wie aus dem Sicherheitsbereich der Moodle-Website hervorgeht, haben die Entwickler insgesamt zehn Sicherheitslücken geschlossen. Auch wenn eine offizielle Einstufung nach CVSS-Standard offensichtlich noch aussteht, stufen die Entwickler das von vier Lücken (CVE-2025-26525, CVE-2025-26533, CVE-2025-26529, CVE-2025-26530) ausgehende Risiko als "ernst" ein.

Nutzen Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem eigentlich abgeschottete Daten einsehen oder sogar Schadcode ausführen. Die Entwickler geben an, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

Die Dateiübertragungssoftware OpenSSH ist über zwei Sicherheitslücken attackierbar. Dabei können Angreifer Opfer dazu bringen, sich mit einem von ihnen kontrollierten Server zu verbinden. Auch wenn es derzeit noch keine Berichte zu Attacken gibt, sollten Admins nicht zu lange zögern.

Anzeige

Setzen Angreifer erfolgreich an der ersten Schwachstelle (CVE-2025-26465 "mittel") an, können sie als Man-in-the-Middle in Verbindungen schauen. Der Fehler steckt in der VerifyHostKeyDNS-Option, die aber standardmäßig nicht aktiv ist.

Eine weitere Voraussetzung ist, dass Angreifer die Speicherressourcen von verwundbaren Clients manipulieren können. Attacken sind also nicht ohne Weiteres möglich. Ist das gegeben, kommt es bei der Überprüfung eines Host-Keys zu Fehlern, sodass der Identitätscheck für Server umgangen wird. Opfer verbinden sich dann ohne Warnung mit einem unter der Kontrolle von Angreifern befindlichen Server.

An der zweiten Sicherheitslücke (CVE-2025-26466 "mittel") können Angreifer für DoS-Attacken ansetzen. Ist so ein Angriff erfolgreich, führt das in der Regel zu Abstürzen.

Im Universal Boot Manager U-Boot haben IT-Sicherheitsforscher mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern, die Vertrauenskette (Chain of Trust) zu unterlaufen und beliebigen Code einzuschleusen und auszuführen. Aktualisierte Software steht bereit, die die Schwachstellen ausbessert. U-Boot kommt insbesondere in Linux-basierten Embedded-Systemen zum Einsatz, etwa in Android-Geräten, aber auch in E-Book-Readern.

Anzeige

In einer Mail an die OSS-Security-Mailingliste listen die Entdecker die Sicherheitslücken auf. Insgesamt sechs Sicherheitslecks wurden aufgespürt. Durch sie können Angreifer mit der Möglichkeit, ext4- oder SquashFS-Dateisystemstrukturen zu verändern, mehrere Probleme in der Speicherverwaltung ausnutzen. "Auf Systemen, die auf einen verifizierten Boot-Prozess setzen, ermöglichen diese Lücken Angreifern, die Chain of Trust zu umgehen und eigenen Code auszuführen", erklären die Entdecker. Eine der Lücken (CVE-2024-57258) ermöglicht das zudem mit anderen Subsystemen als ext4 oder SquashFS.

Die Sicherheitslecks betreffen U-Boot-Bootloader bis einschließlich Version 2024.10. Derzeit steht U-Boot 2025.01-rc1 als neuere Fassung zur Verfügung, die diese Schwachstellen ausbessert.

Die aktualisierten Quellen sind im Projekt-Repository von U-Boot zu finden. Projekte, die auf den U-Boot-Bootloader setzen, dürften in Kürze aktualisierte Bootloader anbieten. Diese sollten Betroffene zeitnah installieren.

In Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Router können Angreifer Sicherheitslücken missbrauchen. Eine Übernahme verwundbarer Geräte ist möglich.

Anzeige

Juniper hat deshalb eine Sicherheitsmitteilung außer der Reihe veröffentlicht. Darin warnt der Hersteller, dass es sich um eine kritische Schwachstelle handelt. Demnach können Angreifer aus dem Netz die Authentifizierung umgehen und administrative Kontrolle über die Geräte übernehmen, da eine Schwachstelle des Typs "Authentifizierungsumgehung auf einem alternativen Pfad oder Kanal" in der Firmware der Geräte besteht (CVE-2025-21589, CVSS 9.8, Risiko "kritisch").

Für die Sicherheitslücke sind Junipers Session Smart Router, Session Smart Conductor und WAN Assurance Managed Router in den Versionen 5.6.7 bis vor 5.6.17, 6.0.8, 6.1 bis vor 6.1.12-lts, 6.2 bis vor 6.2.8-lts sowie 6.3 bis vor 6.3.3-r2 anfällig. Die Fassungen Session Smart Router SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts und SSR-6.3.3-r2 stopfen die Sicherheitslecks.

In von Conductor verwalteten Umgebungen soll das Aktualisieren der Conductor-Knoten ausreichen, die Updates werden dann automatisch an die angeschlossenen Router verteilt. WAN Assurance Managed Router, die mit der Mist Cloud (englisch "Mist" für "Nebel") verbunden sind, sollen ebenfalls automatisch aktualisiert worden sein. Dennoch sollten Admins prüfen, ob die Geräte auf den genannten oder neueren Versionsständen angelangt sind und gegebenenfalls die Aktualisierung nachholen.